Zenn
chot Inc. tech blogPublicationへの投稿
🚫

ドメインを変えたらサービスが繋がらなくなったと言われた件

すてぃん
2025/03/04に公開
network
tech

Intro

弊社で開発しているサービスの、ドメインを変更することになったときの話。

すでに旧ドメインで一部顧客に利用していただいていたため、旧ドメインは破棄せずに新ドメインにリダイレクトさせるようにしました。

DNSの設定やコードをいくらか修正し、リリースをしました。Webアプリを触って画像が表示されたりデータが取得更新できたりと、通常通り使えることを確認して一安心していました。

問題発生

すでに使っていただいていた社外ユーザーから「画像が表示されない」と連絡がありました。

スクリーンショットを見るとたしかに画像が切れてALTテキストが表示されていました。しかし同じ画面を自分のPCで閲覧すると正常に画像が表示されています。

先方のファイアウォールがホワイトリスト制にでもなっているのかと思い、ファイアウォールの設定をご確認くださいと返答しました。ですが「TCP/80(http)とTCP/443(https)は全許可している」とのことでした。ファイアウォールの通信ログには当該ドメインのブロック履歴もないとのこと。

しかも同じ現象がネットワークの異なる別の組織でも発生していることが分かりました。しかし何度確認しても自分のPCでは表示されている…。

調査

緊急的に先方の担当者を含めたミーティングを組み、実際に閲覧できない状態を見せていただきました。

ネイキッドドメイン(△△△.com)だけでなくサブドメイン(sub.△△△.com)で稼働しているサービスすべてにアクセスできませんでした。接続先はAWSだったりVercelだったりするので、IPアドレスはバラバラなのに一律ブロックされていました。

一方で旧ドメインでは正常に接続できていました。厳密には、リダイレクトレスポンスの受信はできていて、リダイレクト先の新ドメインがブロックされるような挙動です。

取ったばかりのドメインを問答無用でブロックするセキュリティもあると噂で聞いたことがありましたが、その線も薄いと考えられました。なぜなら、実は当該ドメインを取得してから31日以上経過後に利用開始していたからです。

色々試してもらったところ、次のことが確認できました。https://△△△.com ではChromeが表示する「接続エラー(ERR_CONNECTION_RESET)」になるのに対し、 http://△△△.com では誰かがレスポンスしたHTMLページによる「Web Page Blocked」というエラー画面になりました。

HTMLには通信のブロック理由が併記されていました。曰く、「Malware」とのこと(!)

原因の判明

ブロック理由を表示したHTMLページにはブロックしたネットワーク機器の名前やサービス名は書いてありませんでしたが、CSSによるスタイルが付けられていました。その画面のスクリーンショットを撮影してGoogle画像検索で調べたところ、パロアルトのファイアウォールサービスであることが判明しました。

パロアルトのWebサイトでドメインの評価をチェックするサービスを公開していることがわかり、新ドメインを入力してみました。確かにマルウェアと判定されていました。

また複数のユーザーが接続できないことから、別のセキュリティソフトメーカーからも悪い評価をされていると予想しました。いくつかのドメイン評価サイトで確認した結果、Nortonもマルウェアと判定していることがわかりました。しかしメーカー次第では未判定という評価であることもありました。

調査の途中に弊社のエンジニアがあることに気づきました。Web Archiveサイトにて当該ドメインで配信されていたページが保存されていたのです。2017年くらいです。1ヶ月ほど前に取ったばかりの「新品」ドメインなのに…?

そのWebサイトはアラビア語だったのでよくわかりませんが、こう推測できました。つまり、新品で取ったドメインは実は中古で、しかも昔にマルウェア配布かそれを疑われるような汚い使われ方をしていたのです。

対応

パロアルトとNortonのドメイン評価サイトに判定変更リクエストフォームがありました。それぞれのフォームに判定の変更依頼を出して2時間ほど待っていたらメールが返ってきました。どうやら再スキャンしてもらえて、新ドメインの評価がきれいになっていました。対応が早くてありがたい。

先方にマルウェア判定されていたこととその判定を覆せたことを連絡すると、当初表示できなかった画像が表示できるようになったと連絡をいただきました。これにて本当に一安心です。

ところで最初「ファイアウォールの通信ログには当該ドメインのブロック履歴もない」と言われていたんですが、あとから「実はパロアルトも使ってました」と言われました。ちーん。

まとめ

ドメインを変更したら突然に通信できなくなった現象についてお話しました。

新品を買ったつもりでしたが過去におそらく汚い目的で使用されており、ファイアウォールなどにマルウェア判定されていたことが原因でした。

新しく取得したドメインも過去に使われていた可能性があります。それも良くない使い方で。新しくドメインを取得したら、各種セキュリティソフトメーカーのサイトでマルウェア判定されていないか確認しないといけないと学びました。

みなさんがお持ちのドメインは綺麗ですか?

GitHubで編集を提案
chot Inc. tech blog
chot Inc. tech blogPublication

ちょっと株式会社(chot-inc.com)のエンジニアブログです。 フロントエンドエンジニア募集中! カジュアル面接申し込みはこちらから chot-inc.com/recruit/iuj62owig

Discussion